调用DescribeAlarmEventList接口查询安全告警处理页面的告警事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
请求参数
名称 | 类型 | 是否必选 | 示例值 | 描述 |
---|---|---|---|---|
Action | String | 是 | DescribeAlarmEventList |
要执行的操作。取值:DescribeAlarmEventList。 |
SourceIp | String | 否 | 1.2.X.X |
要查询的访问源的IP地址。 |
Lang | String | 否 | zh |
请求和接收消息的语言类型,默认值为zh。取值:
|
Dealed | String | 否 | Y |
要查询的告警事件的状态。取值:
|
From | String | 是 | sas |
请求来源标识,固定为sas,表示请求来源为云安全中心。 |
Levels | String | 否 | serious |
要查询的告警事件的危险等级,多个危险等级用半角逗号(,)分隔,严重等级递减。取值:
|
Remark | String | 否 | database_server |
要查询的告警名称或资产信息。 |
GroupId | String | 否 | tst*** |
受告警事件影响的资产的分组ID。 |
AlarmEventName | String | 否 | DDoS木马 |
要查询的告警事件名称。 |
AlarmEventType | String | 否 | 恶意进程(云查杀) |
要查询的告警事件的类型。 |
CurrentPage | Integer | 是 | 1 |
设置从返回结果的第几页开始显示。起始值为1。默认值为1,表示从第1页开始显示。 |
PageSize | String | 是 | 20 |
设置分页查询时,每页显示的数据的最大条数。默认值为20。 |
OperateErrorCodeList.N | String | 否 | ignore. Success |
告警事件处理结果码。格式为:操作类型.操作结果码。包括以下操作类型:
操作结果码:
|
调用API时,除了本文中该API的请求参数,还需加入阿里云API公共请求参数。公共请求参数的详细介绍,请参见公共参数。
调用API的请求格式,请参见本文示例中的请求示例。
返回数据
名称 | 类型 | 示例值 | 描述 |
---|---|---|---|
RequestId | String | 28267723-D857-4DD8-B295-013100000000 |
本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。 |
PageInfo | Object |
页面显示的信息。 |
|
CurrentPage | Integer | 1 |
分页查询时,查询到的当前结果页面的页码。默认值为1。 |
PageSize | Integer | 20 |
分页查询时,每页显示的数据的最大条数。默认值为20。 |
TotalCount | Integer | 1 |
查询到的告警事件的总条数。 |
Count | Integer | 1 |
分页查询时,当前页显示的数据条数。 |
SuspEvents | Array of SuspEvents |
告警事件信息。 |
|
Dealed | Boolean | false |
告警是否已处理。取值:
|
Stages | String | [\"authority_maintenance\"] |
攻击的阶段。 |
InternetIp | String | 1.2.X.X |
受影响资产实例的公网IP。 |
SuspiciousEventCount | Integer | 1 |
关联的异常事件的条数。 |
GmtModified | Long | 1569235879000 |
告警最后修改的时间戳。单位:毫秒。 |
AlarmEventNameOriginal | String | 恶意命令执行精准防御 |
告警事件的原始父名称。 |
AlarmUniqueInfo | String | 8df914418f4211fbf756efe7a6f40cbc |
告警事件的唯一标识ID。 |
CanCancelFault | Boolean | false |
能否取消标记为误报。取值:
|
SecurityEventIds | String | 270789 |
关联异常的ID。 |
CanBeDealOnLine | Boolean | true |
是否能在线处理告警事件,例如阻断隔离、加白名单、忽略等。取值:
|
Description | String | 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。 |
告警事件的描述。 |
InstanceName | String | 测试服务器 |
受影响资产实例的名称。 |
SaleVersion | String | 1 |
告警事件检测支持的售卖版本。取值:
|
OperateErrorCode | String | kill_and_quara.Success |
告警处理结果码。 |
Solution | String | 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。 |
告警事件的处理方法。 |
HasTraceInfo | Boolean | true |
告警是否有溯源信息。取值:
|
DataSource | String | aegis_*** |
数据来源。 |
OperateTime | Long | 1631699497000 |
告警处理的时间戳。单位:毫秒。 |
InstanceId | String | i-e*** |
受影响资产实例的ID。 |
IntranetIp | String | 1.2.X.X |
受影响资产实例的私网IP。 |
EndTime | Long | 1543740301000 |
告警事件最新发生的时间戳。单位:毫秒。 |
Uuid | String | 47900178-885d-4fa4-9d77-*** |
关联实例的唯一标识。 |
StartTime | Long | 1543740301000 |
告警事件的开始时间。 |
AlarmEventType | String | 进程异常行为 |
告警事件类型。 |
AlarmEventName | String | 执行恶意命令 |
告警事件名称。 |
Level | String | serious |
告警事件的危险等级。取值:
|
示例
请求示例
http(s)://[Endpoint]/?Action=DescribeAlarmEventList
&SourceIp=1.2.X.X
&Lang=zh
&Dealed=Y
&From=sas
&Levels=serious
&Remark=database_server
&GroupId=tst***
&AlarmEventName=DDoS木马
&AlarmEventType=恶意进程(云查杀)
&CurrentPage=1
&PageSize=20
&OperateErrorCodeList=["ignore. Success"]
&公共请求参数
正常返回示例
XML
格式
HTTP/1.1 200 OK
Content-Type:application/xml
<DescribeAlarmEventListResponse>
<RequestId>28267723-D857-4DD8-B295-013100000000</RequestId>
<PageInfo>
<CurrentPage>1</CurrentPage>
<PageSize>20</PageSize>
<TotalCount>1</TotalCount>
<Count>1</Count>
</PageInfo>
<SuspEvents>
<Dealed>false</Dealed>
<Stages>[\"authority_maintenance\"]</Stages>
<InternetIp>1.2.X.X</InternetIp>
<SuspiciousEventCount>1</SuspiciousEventCount>
<GmtModified>1569235879000</GmtModified>
<AlarmEventNameOriginal>恶意命令执行精准防御</AlarmEventNameOriginal>
<AlarmUniqueInfo>8df914418f4211fbf756efe7a6f40cbc</AlarmUniqueInfo>
<CanCancelFault>false</CanCancelFault>
<SecurityEventIds>270789</SecurityEventIds>
<CanBeDealOnLine>true</CanBeDealOnLine>
<Description>黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。</Description>
<InstanceName>测试服务器</InstanceName>
<SaleVersion>1</SaleVersion>
<OperateErrorCode>kill_and_quara.Success</OperateErrorCode>
<Solution>请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。</Solution>
<HasTraceInfo>true</HasTraceInfo>
<DataSource>aegis_***</DataSource>
<OperateTime>1631699497000</OperateTime>
<InstanceId>i-e***</InstanceId>
<IntranetIp>1.2.X.X</IntranetIp>
<EndTime>1543740301000</EndTime>
<Uuid>47900178-885d-4fa4-9d77-***</Uuid>
<StartTime>1543740301000</StartTime>
<AlarmEventType>进程异常行为</AlarmEventType>
<AlarmEventName>执行恶意命令</AlarmEventName>
<Level>serious</Level>
</SuspEvents>
</DescribeAlarmEventListResponse>
JSON
格式
HTTP/1.1 200 OK
Content-Type:application/json
{
"RequestId" : "28267723-D857-4DD8-B295-013100000000",
"PageInfo" : {
"CurrentPage" : 1,
"PageSize" : 20,
"TotalCount" : 1,
"Count" : 1
},
"SuspEvents" : [ {
"Dealed" : false,
"Stages" : "[\\\"authority_maintenance\\\"]",
"InternetIp" : "1.2.X.X",
"SuspiciousEventCount" : 1,
"GmtModified" : 1569235879000,
"AlarmEventNameOriginal" : "恶意命令执行精准防御",
"AlarmUniqueInfo" : "8df914418f4211fbf756efe7a6f40cbc",
"CanCancelFault" : false,
"SecurityEventIds" : "270789",
"CanBeDealOnLine" : true,
"Description" : "黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。",
"InstanceName" : "测试服务器",
"SaleVersion" : "1",
"OperateErrorCode" : "kill_and_quara.Success",
"Solution" : "请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。",
"HasTraceInfo" : true,
"DataSource" : "aegis_***",
"OperateTime" : 1631699497000,
"InstanceId" : "i-e***",
"IntranetIp" : "1.2.X.X",
"EndTime" : 1543740301000,
"Uuid" : "47900178-885d-4fa4-9d77-***",
"StartTime" : 1543740301000,
"AlarmEventType" : "进程异常行为",
"AlarmEventName" : "执行恶意命令",
"Level" : "serious"
} ]
}
错误码
HttpCode | 错误码 | 错误信息 | 描述 |
---|---|---|---|
400 | NoPermission | no permission | 限制访问 |
400 | UnknownError | UnknownError | 未知错误 |
500 | ServerError | ServerError | 服务故障 |
访问错误中心查看更多错误码。